Accueil / Souveraineté numérique / Cloud Act vs Cloud and AI Development Act : ce que l’Europe oppose au droit américain
Souveraineté numérique

Cloud Act vs Cloud and AI Development Act : ce que l’Europe oppose au droit américain

TI
Tixeo
10 juillet 2026 · 9 min de lecture
Cloud Act vs Cloud and AI Development Act : ce que l’Europe oppose au droit américain

Cloud Act, Cloud and AI Development Act (CADA) : les deux noms commencent par les mêmes mots, et la ressemblance n’est pas qu’un hasard lexical. Le premier organise l’accès des autorités américaines aux données détenues par leurs fournisseurs cloud, où que soient hébergés les serveurs. Le second construit la réponse européenne : un cadre de souveraineté qui vise, à ses niveaux les plus élevés, à exclure structurellement les fournisseurs soumis à un droit extraterritorial tiers.

Si l’accès aux données est organisé d’un côté, de l’autre c’est plutôt l’indépendance qui est recherchée. Pour les organisations utilisatrices d’outils collaboratifs dans le cloud, comprendre cette opposition permet de questionner leurs choix d’hébergement.

Le Cloud Act américain : ce qu’il permet réellement

2018 : l’extraterritorialité assumée

Le Cloud Act (« Clarifying Lawful Overseas Use of Data Act ») est promulgué en mars 2018 aux États-Unis. Le texte modifie le Stored Communications Act pour poser un principe clair : un fournisseur cloud américain reste soumis aux mandats judiciaires de son pays pour les données qu’il détient, quelle que soit la localisation de ses serveurs.

Contrairement à une lecture parfois répandue, il ne s’agit pas d’un accès libre. Les autorités américaines doivent obtenir un mandat ou une citation à comparaître dans le cadre d’une procédure judiciaire. Mais l’obligation de remise, elle, ne connaît pas de frontière : elle s’applique dès lors que le fournisseur relève du droit américain, même si ses centres de données sont installés en France ou en Allemagne.

FISA 702 : la surveillance en complément

À ce mécanisme judiciaire s’ajoute un second texte, plus ancien et de portée différente : la section 702 du Foreign Intelligence Surveillance Act, qui autorise la collecte de renseignement visant des personnes non américaines situées hors des États-Unis, sans mandat individualisé. Les deux dispositifs se cumulent sans se confondre : le Cloud Act encadre une procédure judiciaire, la FISA organise une surveillance de renseignement.

À noter que cette section 702 a techniquement expiré le 12 juin 2026, le Congrès n’étant pas parvenu à voter sa reconduction. Les autorisations déjà validées par la Cour FISA en mars 2026 restent en vigueur jusqu’en mars 2027, si bien que la collecte se poursuit dans les faits malgré l’expiration du texte. L’issue politique du dossier reste donc ouverte.

Concrètement, pour une organisation européenne

Une organisation cliente d’un fournisseur cloud américain reste exposée à ces deux textes par sa maison mère, quels que soient la localisation contractuelle du service ou les engagements de protection affichés. Une filiale européenne, un contrat de droit français, un hébergement dans l’Union : rien de tout cela ne change la nationalité de l’entité qui héberge la donnée.

Le réflexe le plus courant, « nos serveurs sont en Europe », ne répond donc pas à la question posée par ces deux textes.

Le mythe du datacenter européen

La localisation ne protège pas de la juridiction

« EU-hosted » n’est pas synonyme d’« EU-sovereign ». C’est l’entité qui contrôle le fournisseur, pas la géographie de ses serveurs, qui détermine l’exposition réelle d’une organisation. Une filiale européenne d’un groupe américain reste rattachée, par sa structure capitalistique, au droit dont dépend sa maison mère.

Pourquoi RGPD et clauses contractuelles ne suffisent pas

Le RGPD encadre les transferts de données hors de l’Union européenne mais n’a pas vocation à neutraliser une obligation légale qui s’impose directement au fournisseur dans son pays d’origine. La CNIL a d’ailleurs alerté sur ce point dans son avis sur le projet de certification européenne EUCS : elle regrette que le texte n’exige plus de garanties contre l’accès de puissances étrangères aux données hébergées, à la différence de la qualification française SecNumCloud.

Pour une organisation critique, l’articulation complète des réglementations cloud (RGPD, NIS2, DORA et désormais le Cloud and AI Development Act) mérite d’être posée à plat plutôt que traitée texte par texte. C’est précisément cette faille que le texte européen vient combler.

Le Cloud and AI Development Act : la réponse structurelle

Ce que le CADA met en place

Proposé par la Commission européenne le 3 juin 2026, le règlement européen Cloud and AI Development Act construit un cadre gradué de quatre niveaux d’assurance souveraineté : du simple critère de localisation européenne, au premier niveau, jusqu’à l’absence totale d’ingérence d’un pays tiers sur l’ensemble de la chaîne, propriété du fournisseur comprise, au niveau le plus élevé.

Niveaux 2 et plus : l’indépendance comme critère d’achat

À partir du niveau 2, le critère central devient l’indépendance vis-à-vis des régimes juridiques tiers. Un fournisseur soumis au Cloud Act, par sa nationalité ou celle de sa maison mère, ne peut structurellement pas prétendre aux niveaux les plus élevés, quelles que soient ses garanties contractuelles ou ses engagements de localisation. C’est l’inverse exact de la logique du Cloud Act : là où l’un organise l’accès par la nationalité du fournisseur, l’autre l’exclut par ce même critère.

Le détail des quatre niveaux d’assurance souveraineté et leurs implications pour le choix d’outils collaboratifs sont détaillés dans les 4 niveaux d’assurance souveraineté du Cloud and AI Development Act.

Posés côte à côte, les deux textes dessinent une opposition frontale.

Cloud Act vs CADA : le tableau comparatif

Deux textes, une même question : qui peut légalement atteindre les données d’une organisation européenne ?

 Cloud ActCloud and AI Development Act
Année2018 (en vigueur)Proposé le 3 juin 2026 (adoption visée après trilogue)
LégislateurCongrès américainCommission européenne (Parlement et Conseil à venir)
ObjetAccès aux données par les autorités judiciaires américainesCadre d’assurance de la souveraineté cloud pour la commande publique
PortéeExtraterritoriale, fondée sur la nationalité du fournisseurUnion européenne, marchés publics (extension possible aux secteurs NIS2 par actes délégués)
Qui y est soumisTout fournisseur relevant du droit américain (siège, filiale ou maison mère), où que soient ses serveursFournisseurs candidats aux marchés publics européens, gradués par niveau d’assurance
LogiqueAccès organisé, sous contrôle judiciaireIndépendance réelle, à partir du niveau 2
Conséquence pour une organisation UEExpose ses données au droit américain via son fournisseur, même hébergées en EuropePermet d’exiger, par le niveau choisi, l’absence de cette exposition

Le Cloud Act organise un accès sous contrôle judiciaire, mais sans frontière géographique. Le CADA organise, à l’inverse, une réelle indépendance vis-à-vis de cet accès, à condition de retenir un fournisseur positionné sur ses niveaux les plus élevés.

Ce que ça implique pour vos communications

Visio et messagerie : des données exposées trois fois

Un outil de visioconférence ou de messagerie manipule trois strates de données sensibles :

  • les flux échangés en temps réel,
  • leurs enregistrements,
  • et les transcriptions générées par l’IA intégrée.

Chacune de ces strates peut relever d’une juridiction différente selon l’éditeur de l’outil, l’hébergeur retenu et le sous-traitant IA sollicité pour la transcription.

Trois questions de juridiction à poser

Avant de retenir un outil collaboratif, une organisation critique a intérêt à documenter trois points :

  • la juridiction du fournisseur lui-même ;
  • celle de ses sous-traitants IA, notamment pour la transcription ;
  • celle de sa maison mère, le cas échéant.

L’indépendance juridique de bout en bout, telle que la posent les niveaux CADA les plus élevés et les référentiels de l’ANSSI, découle directement de ces trois réponses.

Une visioconférence certifiée CSPN, chiffrée de bout en bout, conçue et opérée en France, échappe par construction au périmètre du Cloud Act : ni le fournisseur ni sa maison mère ne relèvent du droit américain. Les communications de votre organisation n’ont pas à dépendre d’une juridiction étrangère.

Tixeo, visioconférence certifiée CSPN et chiffrée de bout en bout, est conçue, opérée et hébergée en Europe ou déployée en version on-premise au sein des organisations les plus sensibles.

Foire aux questions sur le Cloud Act vs le CADA (Cloud and AI Development Act)

Qu’est-ce que le Cloud Act ?

Le Cloud Act (« Clarifying Lawful Overseas Use of Data Act ») est une loi américaine de 2018 qui oblige les fournisseurs cloud relevant du droit américain à transmettre, sur mandat judiciaire, les données qu’ils détiennent, y compris lorsqu’elles sont hébergées hors des États-Unis. Il s’applique par la nationalité du fournisseur, pas par la localisation de ses serveurs.

Le CADA interdit-il de recourir à un fournisseur soumis au Cloud Act ?

Non. Le règlement européen ne prononce aucune interdiction : il pose un critère d’achat gradué. Un fournisseur soumis au Cloud Act peut atteindre les premiers niveaux d’assurance souveraineté, mais pas les niveaux 3 et 4, réservés aux fournisseurs indépendants de tout droit extraterritorial tiers.

Le RGPD protège-t-il du Cloud Act ?

Pas directement. Le RGPD encadre les transferts de données hors de l’Union européenne, mais il ne neutralise pas une obligation légale qui s’impose au fournisseur dans son pays d’origine. Les deux textes répondent à des questions différentes.

Un hébergement en Europe suffit-il ?

Non. La localisation des serveurs ne change pas la nationalité de l’entité qui les exploite. Un centre de données européen opéré par la filiale d’un groupe américain reste, par sa structure capitalistique, exposé au Cloud Act.

Le Cloud Act organise un accès. Le Cloud and AI Development Act organise une indépendance. Entre les deux, chaque organisation choisit, par les outils qu’elle retient, la juridiction sous laquelle vivent réellement ses échanges. Cette juridiction ne se déduit pas de l’adresse d’un datacenter : elle se documente, fournisseur par fournisseur, sous-traitant par sous-traitant.

Aller plus loin

Découvrez la visioconférence certifiée par l'ANSSI

Rejoignez les organisations qui protègent leurs échanges les plus sensibles.